MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. A nova fronteira do compliance: Governança digital e segurança na era algorítmica

A nova fronteira do compliance: Governança digital e segurança na era algorítmica

O avanço da IA impõe novos desafios regulatórios e exige estruturas eficazes para equilibrar inovação e conformidade.

quarta-feira, 1 de julho de 2026

Atualizado às 16:09

A regulação tem desempenhado papel fundamental como ferramenta democrática essencial na proteção dos direitos e garantias fundamentais em uma sociedade cada vez mais digitalizada. Marcos regulatórios como a LGPD, no Brasil, e o Regulamento Geral sobre a Proteção de Dados (GDPR - General Data Protection Regulation), na União Europeia, ampliaram o controle dos cidadãos sobre seus dados pessoais para utilizações legítimas e estabeleceram novas responsabilidades para organizações públicas e privadas.

A transformação digital elevou a proteção de dados pessoais à condição de direito fundamental. Em um cenário marcado pela coleta massiva de informações, pela facilidade de acesso, cruzamento e velocidade de transmissão de dados e pelo uso crescente de tecnologias inteligentes, torna-se indispensável garantir transparência, segurança e respeito à privacidade.

Nesse contexto, a União Europeia tem se consolidado como referência regulatória global. Hoje os marcos regulatórios europeus mais importantes, como o GDPR, que inspirou a LGPD no Brasil, além do Regulamento de IA Europeu (AI Act - 2024/1689), trazem dinâmicas como a proteção da pessoa natural, liberdade de informação e segurança jurídica para os mercados.

Ainda no contexto europeu, as regulações ligadas ao desenvolvimento econômico buscam equilibrar inovação, proteção de direitos individuais e segurança jurídica, como o Digital Market Act (DMA – 2022/1925), que dispõe sobre a atuação das grandes plataformas digitais sem alterar as regras de concorrência, além do Data Governance Act (DGA – 2022/868), cujo objetivo é desenvolver um espaço comum de dados, envolvendo setores públicos e privados, tornando seguro o compartilhamento de dados pessoais e sua reutilização que ocorre dentro desse espaço para determinadas áreas específicas.

No Brasil, a LGPD se destaca como marco de consolidação da segurança jurídica em matéria de proteção e dados pessoais, com previsão de princípios e diretrizes que fundamentam a proteção da privacidade e o tratamento de dados pessoais, estabelecendo bases mais sólidas para a construção de ambientes digitais mais seguros e confiáveis.

No âmbito dos Registros Públicos, em especial o de registro de imóveis, o processo de digitalização e regulação eletrônica, como o desenvolvimento do SREI - Sistema de Registro Eletrônico de Imóveis, propiciou agilidade de prestação de serviços registrais em meio eletrônico, com acesso às informações mantidas em base de dados e melhorias no nível da publicidade dos sistemas registrais, com maior facilidade de acesso das informações e interações entre as bases de dados dos registros públicos.

Todas as interações ocorridas no ambiente eletrônico devem observar a segurança da informação, tendo como pilares os requisitos de governança tecnológica. O regulamento mais recente foi a edição do provimento 213/26 pelo CNJ, que estabeleceu padrões mínimos de tecnologia da informação para garantir a segurança, integridade, disponibilidade, autenticidade e rastreabilidade das informações.

Embora o provimento não regulamente expressamente o uso de sistemas de IA, os requisitos de tecnologia da informação previstos na citada norma já fazem alguma interface com a estruturação de governança em IA.

O tráfego de dados pessoais e a evolução dos sistemas de IA generativa, resultado de um acelerado e exponencial crescimento das ferramentas de tecnologias da informação, trazem desafios para os profissionais de compliance e até para os reguladores, já que além da ausência de regulamentação específica da IA, o uso intensivo de dados pessoais e os riscos associados ao uso de estruturas técnicas com metodologias computacionais com baixo nível de transparência, demandam mecanismos robustos de controle e supervisão.

Apesar da aplicação da LGPD ao uso de sistemas de IA que envolvam o tratamento de dados pessoais, a necessidade de regulação específica - como ocorreu na União Europeia com o AI Act, que inspirou, no Brasil, o projeto de lei 2.338/23 - constitui importante instrumento para a promoção de maior segurança jurídica. Soma-se a isso a atuação da ANPD - Agência Nacional de Proteção de Dados Pessoais, responsável por editar normas gerais, regular e fiscalizar setores. A ANPD já instituiu, inclusive, consulta pública à sociedade sobre projeto-piloto de ambiente regulatório experimental em IA e Proteção de Dados (Sandbox Regulatório), cuja realização está prevista para agosto deste ano.

Em que pese a ausência de marco específico em inteligência artificial, observa-se que a utilização desses sistemas integra, cada vez mais, a rotina cotidiana de grande parte da sociedade, especialmente daqueles que operam com grande volume de dados para seu treinamento.

Até que sobrevenha uma regulamentação específica, ou mesmo um maior amadurecimento dos desenvolvedores em relação à segurança da informação, muitos sistemas de IA ainda carecem de mecanismos adequados que permitiriam explicar e interpretar suas operações, apresentando um baixo nível de transparência computacional e dificultando a compreensão dos processos internos que conduzem aos resultados por eles produzidos. 

A arquitetura de transformadores voltada ao processamento de linguagem natural, bem como os algoritmos de aprendizado de máquina (ML - Machine Learning), deverão observar o mais elevado grau possível de transparência, em consonância com o Princípio da Transparência previsto no art. 6º, VI, da LGPD, possibilitando a compreensão dos métodos e processos computacionais empregados na obtenção de resultados, sem prejuízo da proteção aos segredos comercial e industrial.

A transparência da metodologia computacional empregada em sistemas de IA generativa deve ser tratada como elemento central da governança em IA, possibilitando um mapeamento eficaz dos riscos associados à produção de conteúdo sintético que poderá se relacionar, por inferência, a uma pessoa natural identificada ou identificável. Tal conteúdo, quando falso ou inverídico, pode acarretar riscos aos dados pessoais e ensejar eventual violação ao direito à imagem do titular.

Além das questões relacionadas à metodologia computacional empregada, o compartilhamento de dados pessoais em sistemas de IA pode possibilitar a reutilização desses dados para finalidades secundárias, sem a observância das salvaguardas adequadas ao seu tratamento, em desconformidade com a legislação de proteção de dados pessoais, circunstância que pode acarretar prejuízos significativos e de difícil reparação. 

Não se pode ignorar a necessidade de elaboração de documentação capaz de registrar, minimamente, as atividades de tratamento de dados pessoais e os respectivos relatórios de impacto, sempre que a utilização de sistemas de IA envolver o tratamento de dados pessoais. Da mesma forma, impõe-se a adoção de padrões mínimos de tecnologia da informação aptos a garantir a segurança da informação, em conformidade com a legislação aplicável e com as boas práticas de governança.

A adoção de ferramentas de IA exige um gerenciamento de riscos estruturado e eficaz, aliado a políticas claras de governança digital, capazes de estabelecer diretrizes consistentes para a segurança da informação. Trata-se de uma necessidade contemporânea para organizações que desejam acompanhar a evolução tecnológica, mitigar riscos regulatórios e conciliar inovação, ética e transparência, fortalecendo a confiança de clientes, parceiros e da sociedade.

Fernanda Paifer Pelegrini

VIP Fernanda Paifer Pelegrini

DPO e responsável por Governança de Dados, Compliance e Segurança da Informação. Especialista em Proteção de Dados (Nova Lisboa), Compliance (Insper) e Direito Contratual (PUC-SP).